Vulnerabilidades criticas y altas en productos Fortinet
Fortinet anunció recientemente el descubrimiento de dos vulnerabilidades críticas que comprometen sus productos FortiWeb, FortiOS, FortiProxy y FortiSwitchManager, así como de dos vulnerabilidades altas: una que afecta a FortiWeb y otra a FortiSandbox. A continuación, se detallan las vulnerabilidades correspondientes a cada una de estas soluciones.
CVE-2025-59718 y CVE-2025-59719
La vulnerabilidad identificada como CVE-2025-59718 afecta a los productos FortiOS, FortiProxy, FortiSwitchManager, mientras que la vulnerabilidad CVE-2025-59719 afecta a FortiWeb. Ambas vulnerabilidades tienen una puntuación CVSS de 9.8, categorizándolas como severidad crítica, y podrían permitir que atacantes eludan la autenticación de inicio de sesión en FortiCloud SSO por medio de un mensaje SAML manipulado.
FortiCloud SSO es una red centralizada de inicio de sesión desde la cual los usuarios pueden acceder a diferentes servicios de Fortinet con las mismas credenciales, por lo que estas vulnerabilidades representan un riesgo significativo.
Este problema se origina debido a un error en la verificación de las firmas criptográficas en dispositivos que tengan la función de FortiCloud SSO login habilitada. Fortinet afirma que dicha función login no se encuentra habilitada por default, sin embargo, se habilita en cuanto un administrador registra el dispositivo a FortiCare y no desactiva la opción “Permitir inicio de sesión administrativo usando FortiCloud SSO”.
Fortinet compartió versiones actualizadas de estos productos, pero en caso de no poder aplicarlas de inmediato, se recomienda deshabilitar temporalmente la función FortiCloud SSO login. Esto se puede lograr de dos formas: desde System hacer click en el apartado de Settings y deshabilitar la función “Permitir inicio de sesión administrativo usando FortiCloud SSO”, o bien, ingresando los siguientes comandos en la CLI:
config system global
set admin-forticloud-sso-login disable
end
CVE-2025-64447
Esta vulnerabilidad afecta directamente a las cookies de sesión de los productos FortiWeb, estas cookies normalmente son creadas por el servidor cuando cada usuario inicia sesión en la interfaz grafica de FortiWeb. Las cookies de sección almacenan los datos de identificación del usuario como rol o ID, normalmente estas están firmadas criptográficamente o cifradas y solo el servidor puede acceder o modificarlas. Ahí es donde se origina la vulnerabilidad ya que FortiWeb al presentar fallas no valida correctamente la integridad, autenticidad y seguridad de la firma de las cookies.
Al no validarse correctamente las cookies de sesión autores de amenazas podrían explotar la vulnerabilidad para así lograr crear sesiones web nuevas o incluso acceder a sesiones ya iniciadas, lo que podría en riesgo la integridad de los productos afectados ya que permitiría acceder a funciones administrativas del sistema y ejecutar código arbitrario. Para la explotación de la falla los atacantes no necesitan contar con credenciales de autenticación lo que disminuye la complejidad de explotación y aumento la puntuación de CVSS a 7.1.
CVE-2025-53949
Esta vulnerabilidad afecta a los productos FortiSandbox y se origina cuando el sistema toma datos ingresados por el usuario y los usa directamente en comandos del sistema operativo sin hacer validaciones o filtrarlos. Al no neutralizar los datos, un atacante puede incluir caracteres o secuencias especiales que modifiquen la ejecución del comando original y hagan que el sistema ejecute código malicioso. Esto le permitir ejecutar códigos arbitrarios en los dispositivos afectados, con los mismos privilegios del proceso vulnerado.
El impacto que puede ocasionar la explotación de esta vulnerabilidad es alto debido a que la ejecución comandos en el sistema operativo puede permitir que los atacantes tomen el control del sistema o realicen cambios como modificaciones de configuración, corrupción de registros o creación de procesos. Este CVE tiene asignada una puntuación de CVSS de 7.0.
Versiones Afectadas
CVE-2025-59718 y CVE-2025-59719
| Producto | Versión afectada | Versión parcheada |
| FortiWeb | 8.0.0 | 8.0.1 o posteriores |
| FortiWeb | 7.6.0 a 7.6.4 | 7.6.5 o posteriores |
| FortiWeb | 7.4.0 a 7.4.9 | 7.4.10 o posteriores |
| FortiOS 7.6 | 7.6.0 a 7.6.3 | 7.6.4 o posteriores |
| FortiOS 7.4 | 7.4.0 a 7.4.8 | 7.4.9 o posteriores |
| FortiOS 7.2 | 7.2.0 a 7.2.11 | 7.2.12 o posteriores |
| FortiOS 7.0 | 7.0.0 a 7.0.17 | 7.0.18 o posteriores |
| FortiProxy 7.6 | 7.6.0 a 7.6.3 | 7.6.4 o posteriores |
| FortiProxy 7.4 | 7.4.0 a 7.4.10 | 7.4.11 o posteriores |
| FortiProxy 7.2 | 7.2.0 a 7.2.14 | 7.2.15 o posteriores |
| FortiProxy 7.0 | 7.0.0 a 7.0.21 | 7.0.22 o posteriores |
CVE-2025-64447
| Producto | Versión afectada | Versión parcheada |
| FortiWeb | 8.0.0 a 8.0.1 | Actualizar a la versión 8.0.2 o superior |
| FortiWeb | 7.6.0 a 7.6.5 | Actualizar a la versión 7.6.6 o superior |
| FortiWeb | 7.4.0 a 7.4.10 | Actualizar a la 7.4.11 o superior |
| FortiWeb | 7.2.0 a 7.2.11 | Actualizar a la 7.2.12 o superior |
| FortiWeb | 7.0.0 a 7.0.11 | Actualizar a la 7.0.12 o superior |
CVE-2025-53949
| Producto | Versión afectada | Versión parcheada |
| FortiSandbox | 5.0.0 a 5.0.2 | Actualizar a la versión 5.0.3 o superior |
| FortiSandbox | 4.4.0 a 4.4.7 | Actualizar a 4.4.8 o superior |
| FortiSandbox | 4.2 Todas las versiones | Migrar a una versión fija |
| FortiSandbox | 4.0 Todas las versiones | Migrar a una versión fija |
Recomendaciones
- En caso de contar con alguna de las versiones afectadas por la vulnerabilidad siga las recomendaciones y actualice a las versiones parcheadas.
- En caso de no poder actualizar a versiones parcheadas, deshabilitar temporalmente la función FortiCloud SSO login.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- Fortinet. (2025, Diciembre 09). Multiple Fortinet Products' FortiCloud SSO Login Authentication Bypass. FortiGuard Labs. Recuperado el 09 de diciembre de 2025, en: https://www.fortiguard.com/psirt/FG-IR-25-647
- Galtan, S. (2025, Diciembre 09). Fortinet warns of critical FortiCloud SSO login auth bypass flaws. Bleeping Computer. Recuperado el 09 de diciembre de 2025, en: https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-forticloud-sso-login-auth-bypass-flaws/
- Fortinet. (2025, Diciembre 09). OS command injection in multiple endpoints. FortiGuard Labs. Recuperado el 09 de diciembre de 2025, en: https://www.fortiguard.com/psirt/FG-IR-25-479
- Fortinet. (2026, Diciembre 09). Capacity to forge authentication cookies. FortiGuard Labs. Recuperado el 09 de diciembre de 2025, en: https://www.fortiguard.com/psirt/FG-IR-25-945
- Feedly. (2025, Diciembre 09). CVE-2025-64447: Reliance on Cookies without Validation and Integrity Checking (CWE-565). Recuperado el 09 de diciembre de 2025, en: https://feedly.com/cve/CVE-2025-64447
